ベトナム個人データ保護法（PDPL）の制定

2. 主な義務の変更点

(1) 適用主体・域外適用の整理

• PDPLにおいては、①（ベトナム国内で活動する）ベトナム国内の者（組織、機関、個人）に加え、②ベトナム国内で活動する外国の者、さらには③ベトナム国民等の個人データ処理に関与するベトナム国外の者が適用対象として列挙されている（PDPL 1条2項）。
• 政令13号においても同様に①～③を含む形で適用対象が規定されており（政令13号1条2項各号）、若干の文言の違いはあるが、PDPLにおいても概ね同様の考え方が踏襲されることとなる。なお、日系企業への影響は少ないと思われるが、「ベトナム国外で活動するベトナム国内の者」については、PDPLでは適用対象から外れることとなった。
• そのため、特に③との関係で、PDPLにおいても引き続き、（日本在住の者も含む）ベトナム人の従業員や顧客の個人データを処理する日本法人に対する域外適用がなされ得ることになっており、日本企業もPDPLに引き続き注目する必要がある。

(2) 「個人データ」の定義と匿名加工の明文化

• 政令13号及びPDPLにおいて「個人データ」は、「基本的個人データ」及び「センシティブ個人データ」の2種類に分類されている。具体的に該当する情報については大きな変更はないと思われるが、PDPLにおいては規制の柔軟性を高める観点から分類の詳細が政令で指定されることとなっているため、下位政令の策定を待つ必要がある。
• 「センシティブ個人データ」には、たとえばクレジットカード番号や従業員の健康診断の結果なども含まれるため、多くの企業が保有していると考えられる。また、PDPLにおいては、センシティブ個人データの処理と密接に関連する形で、採用・人事管理、保険、金融・銀行、マーケティング、SNS、ビッグデータ、AI、ブロックチェーン、メタバース、クラウドなど、特定業種ごとの個人データ保護義務が新設されている（PDPL 25条～31条）。これらの業種ではセンシティブ個人データを多く扱うため、違反時の法執行のリスクも含め、影響が大きいと思われる。
• PDPLにおいては、政令13号では明定されていなかった「匿名化」という概念が明文化され、個人データを匿名化した場合には、匿名化後のデータは個人データではなくなる旨が明文で規定された（PDPL 2条1項）。日本においても2020年の個人情報保護法改正により導入された匿名加工情報の制度と類似するものである。統計データの利活用の重要性はますます高まっていることから、本規定の積極的活用を検討する価値があるように思われる。

(3) 同意の要件・原則の再整理

• PDPLにおいては、個人データの処理に際して原則として同意の取得を要することが規定され（PDPL 9条1項）、併せて、同意は目的ごとに取得すること（同条4項a号）、他の事項についての同意を抱き合わせで要求しないこと（同項b号）、沈黙は同意とみなさないこと（同項d号）等の事項についても規定されている。これは、政令13号においても類似の要件が定められていたものであり（政令13号11条5項～10項）、PDPLにおいても同様の考え方が踏襲されることとなる。
• 日本の個人情報保護法においては、そもそも一定の場合を除き、個人情報ないし個人データを取り扱う際に同意の取得は求められないが、ベトナムにおいては、上記のように同意取得が原則となるので、留意を要する。
• もっとも、PDPL 19条1項d号においては、「データ主体が、法令に基づき関係機関、組織、個人との間で締結した合意を実施すること」に必要なデータ処理については同意の取得を不要とする例外が定められている。その趣旨は、「データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合」について同意不要と定めたGDPR 6条1項b号前段と同様に、既に締結済みの契約の履行に必要なデータ処理はデータ主体の意思に沿うものであることから改めて同意取得は必要ないとするものであるという考え方もあり得るように思われる。そうであれば、たとえば、ホテルがオンラインで予約を受けた場合において支払情報や連絡先の処理を宿泊契約に基づいて行うケースや、労働者が労働契約を結んだ場合において勤怠・給与・保険などのデータ処理を雇用契約に基づいて行うケースなどについては、別途の同意を取得せずに個人データを処理できると考え得る。

(4) 同意撤回・処理制限の時間要件の変更

• 政令13号においては、異議申立てや処理制限の要求に対し「72時間以内」に対応する等、明確な時間基準が置かれていた（政令13号9条8項b号）。
• PDPLにおいては、撤回・制限の要求を受けた管理者は「法令の定める期間内」に実施する旨の規定にとどめられている（PDPL 10条3項）。具体的な期間については、今後、下位政令の策定を待つ必要がある。

(5) 規制違反の通知が必要となる場合と起算点の変更

• 政令13号においては、「違反発生から72時間以内」に当局へ通知する必要がある旨規定されていた（政令13号23条1項）。
• PDPLにおいては「違反を検知してから72時間以内」に変更され（PDPL 23条1項）、そのような時間制限の遵守が必要な場面については、重大事案（国家の安全等を害するおそれがある場合又はデータ主体の生命、健康、名誉、尊厳若しくは財産を侵害するおそれがある場合）に限定されることとなった。もっとも、上記の場面に当たらなくても、個人データ保護に関する規制への違反が発覚した等の場合には、時間制限はないものの、通知義務自体は引き続き存在するため、留意する必要がある。

(6) 影響評価（DPIA・CTIA）の制度見直し

• 日本法にはない注目すべき制度として、データ処理影響評価（DPIA）及び越境移転影響評価（CTIA）に関する義務が挙げられる。これらは、個人データの処理又は越境移転を行うに際して、データ主体の権利利益等への影響を評価し、その結果を記載した書類を作成して当局に提出することを義務付けるものである。

ア DPIA及びCTIAの変更点

• 主な規定事項の変更の有無及び内容は、以下のとおりである。

• 政令13号に基づき作成され、当局に受理されたDPIA及びCTIAの評価書類は、PDPL施行後も経過規定により有効である。したがって、既に評価書類の提出を行って運用しているデータ処理活動については、基本的にはそのまま継続することができ、PDPLの施行後（2026年以降）の最初に訪れる更新のタイミングで評価書の内容をPDPLに即したものに修正すれば足りると考えられる（PDPL 39条1項、2項）。
• DPIA及びCTIAの内容に変更があった場合に都度再提出が必要としていた政令13号とは異なり、PDPLにおいては、変更があった場合でも、一定の事由が発生した場合を除き（変更があった場合には）6か月ごとに提出すれば足りることとされたため（PDPL 22条1項～3項）、PDPLの施行後（2026年以降）に個人データの処理方法の変更等を予定している場合には、この点を踏まえて変更等を行うタイミングを検討する必要がある。
• DPIA及びCTIAのいずれについても、評価書に記載すべき項目や、更新の方法（ポータル提出等）は施行細則に委任されることとなっている（PDPL 22条4項）。評価書に記載すべき項目によっては、DPD（Data Protection Department）及びDPO（Data Protection Officer）の設置等が実質的に必須となる可能性もあるため、その策定を注視する必要がある。
• CTIAが不要となる例外事由も明文で列挙され（PDPL 20条6項）、従業員の個人データをクラウドコンピューティングサービスに保存する行為（同項b号）などが挙げられている※1。CTIAは、ベトナム域外の主体（第三者）に個人データを提供する場合（PDPL 20条1項b号）のみならず、同一の主体（自社）がベトナム域外に個人データを保管する場合（同項a号）であっても必要となることから、たとえばベトナムの子会社が日本に所在する日本本社のサーバにデータを保管する場合であっても必要になると考えられており、引き続き負担となることが想定される。したがって、今後政令で定められる例外事由も含め、個人データをベトナム域外で保管すること等を検討する際には、例外事由該当性を検討する価値があると思われる。

イ データ法との関係

• PDPLにおいては、PDPLに基づく影響評価（DPIA・CTIA）を実施すれば、データ法上の対応（個人データ処理のリスク評価等）は不要とする調整規定が置かれている（PDPL 5条4項）。

(7) 責任者及び担当部署の設置

• 政令13号においては、原則として、センシティブ個人データを処理する場合、個人データ保護担当部署を設置し、責任者を任命のうえ、公安省担当部局に通知する必要があるとされていた。
• PDPLでは、公安省担当部局への通知義務までは課されないものの、センシティブ個人データを処理するかどうかにかかわらず、（ア）DPD（Data Protection Department）及びDPO（Data Protection Officer）を設置・選任するか、又は（イ）外部の専門業者に委託する義務が法定されている（PDPL 33条1項b号及びc号、同条3項）。（ア）及び（イ）のいずれの措置についても、その具体的な資格基準は、今後政府が詳細を定めるとされている。施行細則次第では、事実上、上記（ア）が必須となる可能性も否定できない。

(8) 個人データの提供及び公開

• PDPLにおいては、個人データの①提供、②公開、③移転の各局面における規制をそれぞれ規定されており、これらの行為を実施できる場面も異なっている（PDPL 15～17条）。このうち、①提供については、データ主体の要請又は同意取得による場合等に限定して実施できるとされている（PDPL 15条1項、2項）。また、②公開については、特定の目的を有する場合や、一定の正当化事由（同意・法令・契約履行等）がある場合等に限定して実施できるとされており、適切な管理が義務付けられている（16条1項～5項）。
• 政令13号においては、これらについて明文の規定が置かれていなかったため、一定の明確化がなされたといえる。
• 今後、個人データのオープンデータ化や社内掲示板への掲載等を行う際の法令遵守については、これらの規定に照らして再確認を行うのが適切であると考えられる。

(9) 中小企業等の特例の拡充

• 政令13号においては、DPO等の任命義務について、個人データ処理サービスを提供している場合を除き、零細企業・中小企業・スタートアップ企業は、設立後2年間免除を受けることができる旨が規定されていた（政令13号43条2項、同条3項）。
• PDPLにおいては、個人データ処理サービスを提供している場合や、センシティブ個人データ又は多数の個人データ主体のデータを直接処理している場合を除き、小規模・スタートアップ企業は、DPD・DPOの設置（33条2項）及びDPIA（PDPL 21条、22条）に関して、PDPLの施行後5年間は義務の免除を受けることができ（PDPL 38条2項）、世帯事業・零細企業についても、同様の例外を除き、恒常的な免除を受けることができる（同条3項）。
• 小規模・スタートアップ企業に該当する可能性のある企業は、PDPLの施行に向けて、これらの適用の免除を受けることができるかどうかを確認する価値があると思われる。

3. 売上高連動型の課徴金等の導入

　政令13号の規定に違反した場合の罰則に関しては、包括的なものは未整備であった。消費者の個人データに関する政令13号違反についてのみ別の政令で罰則が定められており、たとえば、本人の同意のない個人データの収集・利用であれば、4,000万～6,000万ドン（約23万～34万円）の課徴金額が定められていた。

　これに対して、PDPLにおいては、法律レベルで罰則が規定されるに至った。具体的には、個人データの売買については最大で「違反により得られた収益の10倍（PDPL 8条3項）、越境移転違反については最大で「直前会計年度の売上高の5％」（同条4項）、その他の違反については最大30億ドン（約1,670万円）（同条5項）の課徴金を課すことができるといった形で、罰則の上限が法律に明記された。また、「違反により得られた収益」の金額の計算方法については、今後政府が定めることとされている（同条7項）。なお、サイバーセキュリティ分野における行政処分に関する政令の当初の草案においても、政令13号違反に対する罰則として最大「直前会計年度の売上高」の5%の課徴金が案として規定されていたことがあり、課徴金の金額が高額に過ぎるという批判が寄せられたが、PDPLではこの課徴金の最高額をそのまま定めている。

　日本においても個人情報保護法への課徴金（売上額等に連動する行政罰）制度の導入が議論されているが、ベトナムにおいては一足早く、そのような制度が導入されたこととなり、その背景には大規模事業者に対して実効的な制裁を行おうとする政府の意図が見て取れるように思われる。

4. まとめ

　PDPLは、政令13号の枠組みを大枠において維持しつつ法律として確定した上で、一定の義務については追加・変更を行っている。もっとも、多くの重要な事項が「政府規定に委任」されているため、施行までに下位政令の策定を待つ必要がある。

　具体的には、DPIA/CTIAの様式・提出経路・ポータル運用、越境移転の例外事由の運用指針、罰則の具体的な内容等について、下位規則の策定に注視する必要がある。これらの点については今後公布されると思われる政令等を逐次確認するとともに、その他の情報も併せて検討し、2026年1月1日の施行に向けて随時準備を進める必要があると考えられる。